Agențiile de securitate avertizează asupra botneturilor controlate de grupuri cibernetice din China - Infrastructura IoT și routerele sunt țintiți pentru atacuri cibernetice masive

Un avertisment comun al agențiilor de securitate din 10 țări indică o creștere a riscului operațional pentru companii , după ce actori cibernetici asociați Chinei ar fi început să transforme routere și dispozitive IoT (Internet of Things) în botneturi ascunse „strategic și la scară largă”, potrivit TechRadar . Miza: aceste rețele pot masca originea atacatorilor și pot susține atacuri DDoS, răspândire de malware și furt de date sensibile. Documentul, intitulat „Defending against China-nexus covert networks of compromised devices”, este semnat de agenții din 10 state, inclusiv NSA, DOJ și NCSC, și avertizează că „oricine este o țintă” a actorilor cibernetici cu legături în China poate fi afectat de folosirea acestor rețele ascunse de dispozitive compromise. De ce contează pentru organizații: infrastructură „închiriată” fără știrea proprietarului Avertismentul pune accent pe faptul că botneturile nu sunt o noutate, însă utilizarea lor ar fi devenit mai organizată și mai amplă. În practică, asta înseamnă că echipamente aparent banale din rețea (routere SOHO – small office/home office – și dispozitive IoT) pot fi transformate în infrastructură pentru atacuri, fără ca organizația să realizeze imediat. Conform descrierii din raport, actorii caută dispozitive conectate la internet vulnerabile sau slab protejate – de la routere pentru birouri mici și locuințe, până la televizoare inteligente, camere smart și DVR-uri – pe care le infectează cu malware pentru a obține control complet. Ulterior, aceste dispozitive pot fi folosite pentru: ascunderea locației atacatorilor; lansarea de atacuri de tip DDoS (blocarea serviciilor prin supraîncărcare); instalarea de malware suplimentar; furtul de informații sensibile. Exemple din raport: „ Raptor Train ” și grupurile „Typhoon” Un botnet menționat în raport este „Raptor Train”, despre care se afirmă că a operat peste 200.000 de dispozitive la nivel global. TechRadar notează că, potrivit publicației The Register, FBI ar fi legat anterior acest botnet de un grup sponsorizat de statul chinez numit Flax Typhoon. În același context sunt amintite mai multe grupuri „Typhoon” (Salt Typhoon, Brass Typhoon, Volt Typhoon ), despre care se sugerează că ar folosi botneturi în activitățile lor. Ca exemplu, Volt Typhoon ar fi utilizat routere Cisco și Netgear neactualizate pentru a crea „KV Botnet”. Recomandările agențiilor: patch-uri, parole și monitorizare Pentru reducerea expunerii, agențiile recomandă măsuri de bază, dar aplicate consecvent: actualizarea dispozitivelor cu cele mai recente patch-uri (remedieri de securitate); folosirea unor credențiale de autentificare puternice; scanări și monitorizare periodică pentru „indicatori de compromitere” (semne tehnice că un dispozitiv a fost preluat de atacatori). Avertismentul sugerează că, în lipsa acestor măsuri, dispozitivele IoT și routerele rămân o zonă vulnerabilă care poate fi exploatată nu doar pentru atacuri punctuale, ci ca infrastructură reutilizabilă în campanii mai largi. [...]